Tabla de Contenido
O Comando da classe de acesso
ACLs normalmente filtram o tráfego de entrada ou saída em uma interface. No entanto, uma ACL também pode ser usada para proteger o acesso administrativo remoto a um dispositivo usando as linhas vty.
Use as duas etapas a seguir para proteger o acesso administrativo remoto às linhas vty:
- Crie uma ACL para identificar quais hosts administrativos devem ter acesso remoto.
- Aplique a ACL ao tráfego de entrada nas linhas vty.
Use o seguinte comando para aplicar uma ACL às linhas vty:
R1(config-line)# access-class {access-list-number | access-list-name} { in | out }
A palavra-chave in é a opção mais comumente usada para filtrar o tráfego vty de entrada.
O parâmetro out filtra o tráfego vty de saída e raramente é aplicado.
O seguinte deve ser considerado ao configurar listas de acesso em linhas vty:
- Tanto as listas de acesso nomeadas quanto as numeradas podem ser aplicadas às linhas vty.
- Restrições idênticas devem ser definidas em todas as linhas vty, porque um usuário pode tentar se conectar a qualquer uma delas.
Exemplo de acesso VTY seguro
A topologia na figura é usada para demonstrar como configurar uma ACL para filtrar o tráfego vty. Neste exemplo, apenas PC1 terá permissão para fazer Telnet em R1.
Nota: Telnet é usado aqui apenas para fins de demonstração. O SSH deve ser usado em um ambiente de produção.
Para aumentar o acesso seguro, um nome de usuário e uma senha serão criados e o método de autenticação login local será usado nas linhas vty. O comando no exemplo cria uma entrada de banco de dados local de usuário ADMIN e senha class.
Uma ACL padrão nomeada chamada ADMIN-HOST é criada e identifica PC1. Observe que o deny any foi configurado para rastrear o número de vezes que o acesso foi negado.
As linhas vty são configuradas para usar o banco de dados local para autenticação, permitir o tráfego Telnet e usar a ACL ADMIN-HOST para restringir o tráfego.
R1(config)# username ADMIN secret class R1(config)# ip access-list standard ADMIN-HOST R1(config-std-nacl)# remark This ACL secures incoming vty lines R1(config-std-nacl)# permit 192.168.10.10 R1(config-std-nacl)# deny any R1(config-std-nacl)# exit R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input telnet R1(config-line)# access-class ADMIN-HOST in R1(config-line)# end R1#
Em um ambiente de produção, você definiria as linhas vty para permitir apenas SSH, conforme mostrado no exemplo.
R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# access-class ADMIN-HOST in R1(config-line)# end R1#
Verifique se a porta VTY está protegida
Depois que a ACL para restringir o acesso às linhas vty for configurada, é importante verificar se ela está funcionando conforme o esperado.
Conforme mostrado na figura, quando PC1 conecta-se a R1, o host será solicitado a fornecer um nome de usuário e uma senha antes de acessar com êxito o prompt de comando.
Isso verifica se o PC1 pode acessar R1 para fins administrativos.
A seguir, testamos a conexão do PC2. Conforme mostrado nesta figura, quando o PC2 tenta fazer o Telnet, a conexão é recusada.
Para verificar as estatísticas de ACL, emita o comando show access-lists. Observe a mensagem informativa exibida no console sobre o usuário administrador. Uma mensagem informativa do console também é gerada quando um usuário sai da linha vty.
A correspondência na linha de permissão da saída é o resultado de uma conexão Telnet bem-sucedida por PC1. A correspondência na declaração de negação se deve à tentativa fracassada de criar uma conexão Telnet por PC2, um dispositivo na rede 192.168.11.0/24.
R1# Oct 9 15:11:19.544: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 192.168.10.10] [localport: 23] at 15:11:19 UTC Wed Oct 9 2019 R1# show access-lists Standard IP access list ADMIN-HOST 10 permit 192.168.10.10 (2 matches) 20 deny any (2 matches) R1#
Verificador de sintaxe – Proteja as portas VTY
Proteja as linhas vty para acesso administrativo remoto.
Crie uma entrada de banco de dados local para o nome ADMIN e class secreta.
R1(config)#username ADMIN secret class
Crie uma ACL padrão nomeada chamada ADMIN-HOST.
R1(config)#ip access-list standard ADMIN-HOST
Crie uma licença ACE para o host com o endereço IP 192.168.10.10.
R1(config-std-nacl)#permit host 192.168.10.10
Em seguida, adicione o deny any implícito e retorne ao modo de configuração global.
R1(config-std-nacl)#deny any R1(config-std-nacl)#exit
Entre no modo de configuração vty para configurar as cinco linhas vty (ou seja, 0 – 4).
R1(config)#line vty 0 4
Use o método de login local para autenticação e permita o tráfego Telnet.
R1(config-line)#login local R1(config-line)#transport input telnet
Restrinja o acesso de entrada ao PC1 usando apenas o comando access-class e o ACL ADMIN-HOST nomeado e retorne ao modo EXEC privilegiado.
R1(config-line)#access-class ADMIN-HOST in R1(config-line)#end
PC1 tentou fazer Telnet para R1 e foi bem-sucedido. O PC2 tentou e não teve sucesso. Verifique as estatísticas de ACL para ver se as ACLs estão funcionando conforme o esperado.
R1#show access-lists Standard IP access list ADMIN-HOST 10 permit 192.168.10.10 (2 matches) 20 deny any (2 matches)
Você modificou com êxito uma ACL numerada IPv4 em R1.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.